4.2.1 Аутентификация и авторизация всех пользователей сети Wi-Fi

Стартовой точкой создания любой инфраструктуры с глубокоэшелонированной обороной является аутентификация. Аутентификация должна применяться на самой ранней начальной точке входа любого пользователя или устройства в сеть на уровне порта еще до получения IP-адреса. После положительного прохождения аутентификации должна быть пройдена авторизация, которая дает возможность понять, кто этот аутентифицированный пользователь, что он может делать в сети, куда он может получать доступ. На рисунке 4.1 показан принцип аутентификации.

Рисунок 4.1 – Принцип аутентификации

Стандарт предлагает использовать гибкое решение - 802.1х, которое поддерживает большое количество протоколов аутентификации от цифровых сертификатов до методов с логином/паролем. Также 802.1х поддерживается большим количеством платформ -–от КПК и смартфонов до настольных компьютеров и серверов. Модуль 802.1х встроен в последние версии Windows и MacOS, а также во многие операционные системы для смартфонов.

Подробнее о IEEE 802.1x. 802.1x - это система, стандартизованная IEEE и адаптированная рабочей группой 802.11i для формирования контроля доступа c основой на создании портов.

Некоторые детали:

– процесс ассоциации 802.11 создает виртуальный порт для каждого клиента WLAN на ТД;

– ТД блокирует все фреймы данных, которые не соответствуют трафику 802.11х;

– 802.1х-фреймы переносят (туннелируют) пакеты аутентификации EAP, которые перенаправляются Точкой Доступа (или контроллером WLAN в централизованной архитектуре) к серверу ААА;

– если аутентификация на базе EAP прошла успешно, ААА-сервер отправляет к ТД сообщение успешного завершения (EAP success), затем уже ТД разрешает трафику данных от клиента WLAN пройти через виртуальный порт;

– еще до открытия виртуального порта устанавливается шифрование канала обмена данными между клиентом WLAN и ТД, чтобы гарантировать, что никакой другой клиент WLAN не сможет получить доступ к этому установленному виртальному порту для данного клиента, который проходит аутентификацию.

Рекомендации по использованию протокола EAP.

Используйте методы 802.1х EAP, которые включают в себя создание шифрованных туннелей. Например это:

– EAP-PEAP,

– EAP-TLS,

– EAP-TTLS.

Не используйте протоколы типа EAP, которые не поддерживают туннелирование, например EAP-MD5 или LEAP.

Рекомендации по использованию суппликантов 802.1х

Надо быть аккуратными при использовании суппликантов 802.1х. Многие суппликанты предоставляют опции:

– для проверки серверных сертификатов;

– для настройки доверия только определенным серверам аутентифкации;

– для настройки доверия только сертификатам определенных авторизованных центров сертификации (CA/Certificate Authorities);

– для разрешения конечному пользователю добавлять новые доверенные сервера или СА.

Для достижения наивысшего уровня безопасности всегда используйте наиболее жесткие ограничения. Серверный сертификат всегда должен проверяться на стороне клиента. Клиент должен доверять только ограниченному набору СА. Для большей безопасности лучше, если это будет СА внутри корпоративной сети под максимальной защитой, нежели внешний публичный СА. Конечному пользователю не надо разрешать (надо запрещать) добавление новых доверенных серверов аутентификации или СА.

Построение глубокоэшелонированной обороны может быть успешным только в случае реализации авторизации пользователей после успешной аутентификации. Критично важно, что привилегии пользователя на сети варьируются не только на уровне его персональной идентификации, но и на таких более интеллектуальных факторах, как:

– идентификация устройства пользователя;

– текущий уровень безопасности этого устройства;

– местоположение пользователя;

– время суток;

– использовавшийся метод аутентификации.

Например, пользователь, проверяющий свой корпоративный ящик с домашнего компьютера в выходной, может получить доступ к почте только, если домашний компьютер имеет и использует подходящую версию межсетевого экрана и антивируса с последним обновлением базы данных. В случае несоответствия пользователь может быть перенаправлен на страницу для скачивания такого ПО, чтобы получить доступ в сеть в соответствии с политикой безопасности. Или использование определения местоположения пользователя позволяет применить такие правила, как ограничение его доступа к приложениям, содержащим конфиденциальные сведения, из небезопасных мест, например, корпоративного кафе.

На практике очень удобно, когда весь необходимый функционал аутентификации, идентификации, авторизации и т.п. собран в одном устройстве с удобным интерфейсом управления. На момент написания данной статьи наиболее продвинутое решение имеет компания Cisco Systems – это Cisco ISE/Identity Services Engine [30].